Comments
Description
Transcript
立ち読みする - ASCII.jp
い脅威 されな 知らないでは済ま 特別 企画 謎 ア の ェ ウ イ スパ 徹底解明! ひと頃に比べ、コンピュータウイル スに感染して大騒ぎになるケースは 減っているように感じる。しかしこれ は、ウイルスそのものが減っている わけではなく、むしろ巧妙になってい ることを意味する。 そんな中、最近 にわかに注目を集めているのが「ス パイウェア」を利用した犯罪行為だ。 ではこのスパイウェアは、 従来のウ イルスなどとどう違うのだろうか。 編集・石山俊浩 文・株式会社ラック サイバーリスク総合研究所 先端技術開発部 新井悠 認知度は上がりつつある スパイウェア 社会問題として大きく取り上げられたこ ば、独立行政法人情報処理推進機構 ともあるだろう。現在では、それらスパ (IPA)が 2007 年 12月に明らかにした イウェア対策専用製品に並んで、従来 「情報セキュリティに関する脅威に対 今 から3 年 ほど 前、2005 年 から からあるウイルス対策ソフトにもそれら する意識調査(2007 年度第 1 回)」に 2006 年にかけて、急速に国内の小売 の対策機能が取り込まれたことで、市 よれば、「ボット」や「セキュリティ対策 市場へスパイウェア対策専用製品が 場としては一息ついた状態となってい の押し売り行為」は、なかなか市民権 投入された。これは同時に、古くから る。しかしながら、スパイウェアの脅威 を得られていない一方で、スパイウェ 存在していた「マルウェア (Malware: 自体がなくなったわけではない。 アはフィッシングやワンクリック不正請求 Malicious Software) 」に、新たな脅 スパイウェアの脅威については、新 といった言葉と同様の高い認知度を示 威としてスパイウェアが台頭してきたこと 聞やインターネットなどを通じて、実際 を意味する。実際、当時スパイウェア の事件などが報道されるにつれ、一般 を悪用した国内の検挙事案が発生し、 に浸透していったといってよい。たとえ ※ 可能 情報窃取活動 スパイウェア トロイの木馬 (狭義の) マルウェア 146 NETWORK magazine December 2008 感染活動内容 ボット 遠隔からネットワークを通じてコマンドを受信し、その 意のままに活動させられるマルウェア。コマンドを送 信する指 令 サーバをCommand and Control(C& C) サーバと呼び、指令サーバを操作する攻撃者はハ ーダー(Herder:牧夫 ) と呼ばれる。スパム送信や DDoS 攻撃に使用されることもある。 トロイの木馬 元々は 「正規の、あるいは正当なソフトウェアになりす まして、悪意ある活動を行なうソフトウェア」 を指してい る。 今では、自己増殖活動を行なわないマルウェア 全般を指すような使われかたをしている。このカテゴリ の小分類に含まれるスパイウェア以外の例として 「バッ クドア」や「ダウンローダ」 がある。 可能 ワーム 自己増殖をすることに特化している。 大発生すると、 その生成トラフィックにより、ネットワーク的な障害を発 生させることもある。 ワーム 不可能 図 1 マルウェアのカテゴライズ カテゴリ ボット 自己伝播 不可能 ※:従来より 「コンピュータウイルス」 と呼ばれてきた が、現在ではこの呼称が一般的になっている ため、本稿ではこの表記に統一する。 ほかのファイル (exe や DLLなど) の一部を改変し、そ 狭義のマルウェア の処理に変更を加えることで感染を成立させる。自己 増殖機能はなく、潜伏期間が長い。 表 1 マルウェアのカテゴリと感染活動 徹底解明! しているのだ。 認知度の高さの一方で、スパイウェ ア、ひいてはマルウェア全般を巡る様 相はこの数年で様変わりしている。な スパイウェアの謎 (単位:100 万) 100 80 60 ぜならば、先に述べた「セキュリティ対 策の押し売り行為」は、スパイウェアに 関連した反社会的な組織の活動の 1 つ、と見ることもできるからだ。本稿で は、これら最新動向を含む説明を行な ったうえで、有効な対策を読者に提供 することを目的とする。なお、本稿で は広く使用されているWindowsを利 40 20 0 2005 年 上半期 2005 年 下半期 2006 年 上半期 駆除されたマルウェア数 2006 年 下半期 2007 年 上半期 2007 年 下半期 マルウェアを駆除したコンピュータ数 図 2 マルウェアの傾向(出典:マイクロソフト) 用している読者を想定した内容となっ い、本稿でのスパイウェアの定義は「自 提供している 「悪意あるソフトウェアの ている点に注意されたい。 己増殖機能を持たないマルウェア (トロ 削除ツール」によって駆除されたマルウ イの木馬)の一種であり、特定の情報 ェア数と駆除されたコンピュータ数の、 を利用者にわからないように窃取するも 2005 年から2007 年にかけての半期ご の」 とする。視覚的にわかりやすくした とのデータである。このように、全体の まず、現在では悪意あるソフトウェ ものを図 1に、それぞれのカテゴリの 母数のトレンドとしては、明らかに右肩 ア、すなわち誰かの PCに危害を加え 説明を表 1に示す。 上がりの感染拡大を見せている。 スパイウェアの定義と区分 るソフトウェア全般はマルウェアと呼ば れている。スパイウェアはマルウェアの では、全体の内訳を見てみよう (図 スパイウェアの現況 3)。図中のマーキングは筆者が追加し 一種である。そしてマルウェアは、近 たものだが、駆除数の上位 5 つのうち、 年では金銭目的のために作成されたこ スパイウェアの現況を知るために、い 実に2 つがスパイウェアなのである。し とで、そうした換金性のある情報をPC くつか統計資料を紹介したい。 たがって、全体的な傾向として、スパ から盗み出すことを主たる機能として まず、スパイウェアを含むマルウェア イウェア感染の数は依然として多く、ま 持っている。したがって、スパイウェア 全体の傾向は図 2 のようになる。これ た伸びてきている、といってよいのでは という名称が一般に広まった当初、そ は、マイクロソフトが月1 回のペースで ないだろうか。 の定義に含まれるとされていた「『金銭 目的』であることがスパイウェアの特徴 の 1 つである」 ということは、現在では あまり意味をなさず、マルウェア全体を 30% 25% 20% 指すことに近くなってしまった。 15% スパイウェアの定義については、旧 10% 来から多くの議論がなされており、ど 5% パスワード 窃取ツール エクスプロイト ウイルス ルートキット 2007 年上半期 ワーム 呼ぶことが多いようである。これに従 2006 年下半期 バックドア れないように情報を盗むマルウェア」 と アドウェア と、新聞や TVでは「感染者に気付か トロイの木馬 し昨今の検挙事案の報道状況を見る 0 ダウンローダ およびドロッパ 不明瞭なままであった点も多い。しか 不 要な ソフトウェア こまでをその意味するところにするか、 2007 年下半期 図 3 LiveOneCare による駆除数の内訳(出典:マイクロソフト) NETWORK magazine December 2008 147